forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость в Asterisk, позволяющая перенаправить RTP-поток"
Отправлено opennews, 02-Сен-17 22:25

В Asterisk 13.17.1 и 14.6.1 устранены (http://www.mail-archive.com/asterisk-announce@lists.dig...) три уязвимости, одна из которых признана критической (CVE-2017-14099 (http://downloads.asterisk.org/pub/security/AST-2017-005.html)) и позволяет захватить поток информации. Уязвимость присутствует в стеке RTP (Realtime Transport Protocol) и затрагивает системы, в которых в rtp.conf установлена опция "strictrtp" (включена по умолчанию) и активны настройки обхода NAT ("nat" и "rtp_symmetric" для chan_sip и
chan_pjsip). Через отправку большого числа RTP-пакетов атакущий может организовать перенаправление исходящего медиапотока на свой IP.

Вторая уязвимость (http://downloads.asterisk.org/pub/security/AST-2017-006.html) (CVE-2017-14100) присутствует в модуле голосовой почты app_minivm и позволяет организовать подстановку shell-кода через передачу специально оформленного имени caller ID или номера телефона. Третья уязвимость (http://downloads.asterisk.org/pub/security/AST-2017-007.html) (CVE-2017-14098) затрагивает модуль res_pjsip и может привести к удалённому краху процесса Asterisk при обработке некорректного URI в полях From, To или Contact.
URL: http://www.mail-archive.com/asterisk-announce@lists.dig...
Новость: http://www.opennet.ru/opennews/art.shtml?num=47117

Исходное сообщение
"Уязвимость в Asterisk, позволяющая перенаправить RTP-поток" Отправлено opennews, 02-Сен-17 22:25
В Asterisk 13.17.1 и 14.6.1 устранены (http://www.mail-archive.com/asterisk-announce@lists.dig...) три уязвимости, одна из которых признана критической (CVE-2017-14099 (http://downloads.asterisk.org/pub/security/AST-2017-005.html)) и позволяет захватить поток информации. Уязвимость присутствует в стеке RTP (Realtime Transport Protocol) и затрагивает системы, в которых в rtp.conf установлена опция "strictrtp" (включена по умолчанию) и активны настройки обхода NAT ("nat" и "rtp_symmetric" для chan_sip и chan_pjsip). Через отправку большого числа RTP-пакетов атакущий может организовать перенаправление исходящего медиапотока на свой IP. Вторая уязвимость (http://downloads.asterisk.org/pub/security/AST-2017-006.html) (CVE-2017-14100) присутствует в модуле голосовой почты app_minivm и позволяет организовать подстановку shell-кода через передачу специально оформленного имени caller ID или номера телефона. Третья уязвимость (http://downloads.asterisk.org/pub/security/AST-2017-007.html) (CVE-2017-14098) затрагивает модуль res_pjsip и может привести к удалённому краху процесса Asterisk при обработке некорректного URI в полях From, To или Contact. URL: http://www.mail-archive.com/asterisk-announce@lists.dig... Новость: http://www.opennet.ru/opennews/art.shtml?num=47117

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В Asterisk 13.17.1 и 14.6.1 устранены (http://www.mail-archive.com/asterisk-announce@lists.digium.com/msg00673.html) 
> три уязвимости, одна из которых признана критической (CVE-2017-14099 (http://downloads.asterisk.org/pub/security/AST-2017-005.html)) 
> и позволяет захватить поток информации. Уязвимость присутствует в стеке RTP (Realtime 
> Transport Protocol) и затрагивает системы, в которых в rtp.conf  установлена 
> опция "strictrtp" (включена по умолчанию) и активны настройки обхода NAT ("nat" 
> и "rtp_symmetric" для chan_sip и 
> chan_pjsip). Через отправку большого числа RTP-пакетов атакущий может организовать перенаправление 
> исходящего медиапотока на свой IP.

> Вторая уязвимость (http://downloads.asterisk.org/pub/security/AST-2017-006.html) 
> (CVE-2017-14100) присутствует в модуле голосовой почты app_minivm  и позволяет организовать 
> подстановку shell-кода через передачу специально оформленного имени caller ID или номера 
> телефона. Третья уязвимость (http://downloads.asterisk.org/pub/security/AST-2017-007.html) 
> (CVE-2017-14098) затрагивает модуль res_pjsip и может привести к удалённому краху процесса 
>  Asterisk при обработке некорректного URI в полях From, To или 
> Contact.

> URL: http://www.mail-archive.com/asterisk-announce@lists.digium.com/msg00673.html 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=47117

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру